| SUSE LINUXドキュメント 第3章 YaSTでのシステム設定 / 3.6. セキュリティとユーザ | ||||
|---|---|---|---|---|
 | 3.5. ネットワークサービス | 3.7. システム |  | |
| SUSE LINUXドキュメント 第3章 YaSTでのシステム設定 / 3.6. セキュリティとユーザ | ||||
|---|---|---|---|---|
| 3.5. ネットワークサービス | 3.7. システム | | |
Linuxの基本的な特徴の1つは、マルチユーザ機能です。つまり、複数のユーザが同じLinuxシステム上で個別に作業することができます。各ユーザは、システムにログインするためのログイン名と個人パスワードにより識別されるユーザアカウントを持ちます。すべてのユーザは独自のホームディレクトリを持ち、そこに個人的なファイルと設定を保存します。
ユーザの管理を選択すると、YaSTユーザ管理モジュールが開き、システム内のローカルユーザすべての概要が表示されます。大規模なネットワークに属している場合、[]をクリックしてすべてのユーザ(rootまたはNISユーザなど)をカテゴリごとにリストします。[]をクリックして、フィルタ設定をカスタマイズすることもできます。
個々のユーザグループを切り替える代わりに、必要に応じてそれらを組み合わせます。新規ユーザを作成するには、[]をクリックして、適切なデータを入力します。[]をクリックすると、処理が完了して、新規ユーザは新しく作成されたログイン名とパスワードを使用してただちにログインできます。
表示されたボックスにチェックを入れることで、ユーザはログインできなくなります。[]タブをクリックしてユーザプロファイルを微調整することもできます。ここでは、手動でユーザID、ホームディレクトリ、デフォルトログインシェルの設定ができ、新規ユーザを特定のグループに割り当てることができます。パスワードの妥当性を[]で設定します。 [] をクリックして、変更内容を保存します。
ユーザを削除するには、リストからユーザを選択して、[]をクリックします。ボックスにチェックを入れて、[]をクリックし、削除を有効にします。
高度なユーザ管理の場合、[]を使用して新しいユーザを作成する場合のデフォルト設定を定義します。ユーザ認証方法(NIS、LDAP、Kerberos、またはSambaのうちすべてが設定できます)、ログイン設定(KDMまたはGDMのみ)、およびパスワードを暗号化するためのアルゴリズムを選択します。 []および[]は、ローカルユーザにのみ適用されます。[]では、設定の概要とクライアントを設定するオプションが、管理者に提供されます。高度なクライアント設定は、このモジュールを使用しても実行できます(クライアント設定の詳細については、それぞれの章を参照してください)。設定が承認されると、管理者は最初の設定の概要に戻ります。[]をクリックすると、設定モジュールを終了することなく、すべての変更を保存します。
YaSTコントロールセンターからグループ管理モジュールを起動するか、ユーザ管理モジュールの[]をクリックします。どちらのダイアログも、グループの作成、編集、削除という同じ機能を提供します。
YaSTでは、すべてのグループの概要が表示されます。グループを追加するには、[]をクリックし、適切なデータを入力します。対応するボックスにチェックを入れると、表示されたリストからグループメンバを選択できます。 []をクリックすると、グループが作成されます。グループを編集するには、リストから編集するグループを選択し、[]をクリックします。必要な変更をすべて行い、[]をクリックして、変更を保存します。グループを削除するには、リストからグループを選択し、[]をクリックします。ユーザ管理ダイアログのように、管理者は[]をクリックしてフィルタ設定を変更できます。これに関する詳細については、前章を参照してください。[]をクリックすると、高度なグループ管理ができます。詳細については、項3.6.1. 「ユーザ管理」を参照してください。
[]からアクセスできる、[]で、スタンドアロンコンピュータ用の[]、ネットワークを使用するワークステーション用の[]、またはネットワークを使用するサーバ用の[]、の3つのオプションのうち1つを選択します。独自の設定を行うには、[]を使用します。
最初の3つの項目の中から1つをクリックし、[]をクリックすれば、事前に設定されたシステムセキュリティオプションのうちの1つのレベルがただちに有効化されます。[]をクリックするか、[]を選択すると、変更可能な個々の設定が表示されます。[]をクリックして続きの手順に進みます。
承認される前に、システムによって新規パスワードの確認を行うためには、[]および[]をクリックします。新規作成されたユーザ用に、パスワードの長さの最小限を設定します。パスワードを有効とする期限、またユーザがテキストコンソールにログインしたときに発行する期限切れの警告を、期限切れの何日前に表示するかを定義します。
キーの組み合わせCtrl-Alt-Delを使用して、どのようなアクションを実行するかを指定します。通常、この組み合わせが、テキストコンソールに入力されると、システムは再起動されます。ただし、このキーの組み合わせが押された際の動作を指定することができます。使用中のマシンまたはサーバが、誰でも触ることができる場所にあり、誰かが承認なしにこのアクションを行う恐れがない限り、この変更を行わないでください。[]を選択すると、このキーの組み合わせを押すとシステムがシャットダウンします。[]を選択すると、このキーの組み合わせは無視されます。
KDEディスプレイマネージャ、KDEのグラフィカルログインからシステムをシャットダウンする権限を与えるには、[]を指定します。[](システム管理者)、[]、[]、または[]に権限を与えます。[]が選択された場合、システムはテキストコンソール経由からのみシャットダウンできます。
一般的に、ログイン試行が失敗した後、数秒待ってから、再度ログインが可能になります。これによりパスワードスニファのログインはさらに難しくなります。必要に応じて、[]と[]を有効化します。誰かがパスワードを見破ろうとしている可能性がある場合、/var/logにあるシステムログファイルのエントリを確認します。[]を使用すると、あるユーザのグラフィカルログイン画面に、ネットワーク経由で別のユーザがアクセスできるようになります。このアクセス手段には潜在的なセキュリティリスクがあるため、デフォルトでは無効になっています。
すべてのユーザに数値とアルファベットで構成されたユーザIDが割り当てられます。これらの相関関係は、/etc/passwdファイルを介して確立され、可能な限り一意的である必要があります。この画面のデータを使用して、新しいユーザを追加するときに、ユーザIDの数値部分に割り当てる数字の範囲を定義します。ユーザには最低500が適切です。自動生成されるシステムユーザは1000から始まります。グループID設定も同じ方法で設定します。
[]には、[]、[]、および[]の3つの選択オプションがあります。YaSTヘルプテキストには、3つのセキュリティレベルについての情報が記載されています。ほとんどのユーザには、[]で十分です。[]設定は非常に制約が強く、システム管理者の設定に対しても、操作の基本レベルしか設定できません。[]を選択する場合、一部のプログラムは適切に動作しないか、まったく動作しない可能性があります。これは、ユーザが特定のファイルへのアクセス権を失うためです。
このダイアログでは、updatedbプログラムを起動するユーザも定義します。このプログラムは、毎日またはブート後に自動的に実行され、コンピュータ上の各ファイルの場所が保存されるデータベース(locatedb)を生成します。[]を選択する場合、すべてのユーザは、他の(アクセス権のない)ユーザが参照可能なデータベースへのパスのみを参照できます。rootが選択された場合、すべてのローカルファイルにインデックスが付けられます。これは、スーパーユーザであるrootユーザがすべてのディレクトリにアクセスするためです。[]および[]のオプションが、無効化されていることを確認します。これらの設定は、正しく使用されないとセキュリティ上に深刻なリスクを生じる恐れがあるので、上級のユーザのみこれらのボックスにチェックを入れるようにします。最後に、[]をクリックすると、システムがクラッシュしても、ある程度システムを制御できます。
[]をクリックして、セキュリティ設定を完了します。
このモジュールを使用してSuSEfirewall2を設定し、インターネットからの攻撃に対してマシンを保護します。SuSEfirewall2の詳細については、項23.1. 「マスカレードとファイアウォール」 (↑リファレンス)を参照してください。
![[Tip]](admon/tip.png) | ファイアウォールの自動有効化 |
|---|---|
YaSTは、すべての設定済みネットワークインターフェース上で、適切な設定を使用してファイアウォールを自動的に起動します。カスタム設定を使用してファイアウォールを再設定するか、無効にする場合にのみ、このモジュールを起動します。 | |
